我在我的一台服务器上的IIS7上运行WordPress。 出于某种原因,黑客可以更改所有文件的读写权限,然后将脚本标签注入到index.php文件的顶部。
我应该从哪里开始寻找,以便弄清楚它们是如何覆盖文件的?
首先,升级到最新版本的WordPress。 然后禁用所有插件。 这样可以防止杂乱无章的人在机器上做更多的取证。
仔细查看您的访问日志,寻找请求周围的文件的时间,这些文件可能是POST,或者带有有趣的查询参数。 请注意所请求的URL,以及它们是否与插件或核心代码相关联,这将有助于缩小攻击向量的范围。 然后,您可以重新启用与问题无关的插件(再次将其更新到最新版本以降低风险)。
从那里,这一切都取决于你以前发现什么和你有多less技能。 你可以玩蜜jar,并试图获得更多关于攻击者的信息,但是我猜你可能已经从你明显的经验水平上开始了一场艰苦的战斗。 一般的build议只是保持最新的补丁,观看安全更新wordpress公告,并祈祷你不会被打零。